Home / Aktuelles & Termine / it.sec blog

Situation nach Schrems II-Urteil des EuGH

Nach dem Schrems II- Urteil des EuGH vom 16. Juli 2020, Rechtssache C-311/18, ist es gängige Praxis geworden, dass Unternehmen EU-Standarddatenschutzklauseln abgeschlossen haben, um einen Datentransfer in einen Drittstaat entsprechend abzusichern. Doch auch dieses Vorgehen verursachte bisher Unsicherheiten bei den Unternehmen, da nicht klar war, ob und welche zusätzlichen Maßnahmen getroffen werden müssen, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können.

Empfehlungen des European Data Protection Board (EDPB)

Am 11.11.2020 hat das EDBP hierauf reagiert und Empfehlungen für Transfer- und Überwachungsmaßnahmen im Rahmen des internationalen Datentransfers veröffentlicht.

Um herauszufinden, ob Datenexporteure zusätzliche Maßnahmen ergreifen müssen, um einen sicheren Datentransfer in Drittstaaten zu gewährleisten, soll gemäß EDPB wie folgt vorgegangen werden :

  1. Welche Datenübermittlungen in Drittstaaten liegen im Unternehmen vor?
    Beispiel: Archivierung von personenbezogenen Daten auf Servern eines Dienstleisters mit Sitz in einem Drittstaat.
  2. Auf welche Garantie stützt sich das Unternehmen bei der Datenübertragung gem. Art. 46 DSGVO?
    Beispiel: SCC oder Binding Corporate Rules.
  3. Beurteilung des eingesetzten Übertragungsinstruments unter Berücksichtigung aller Umstände der Datenübertragung auf seine Wirksamkeit hin.
    Beispiel: Im Rahmen des Schrems II Urteils des EuGH wurde festgestellt, dass die Zugriffsrechte der Behörden unter Abschnitt 702 der US-FISA nicht auf das notwendige beschränkt sind und damit dem Verhältnismäßigkeitsgrundsatz der DSGVO widersprechen.
  4. Festlegung zusätzlicher Maßnahmen (technische, organisatorische oder vertragliche Maßnahmen).
    Beispiel: Pseudonymisierung oder Verschlüsselung der übertragenen personenbezogenen Daten.
  5. Weitere Verfahrensschritte für die zusätzlich festgelegten Maßnahmen.
    Beispiel: Zusätzliche vertragliche Vereinbarungen zur Umsetzung der zusätzlich festgelegten Sicherheitsvorkehrungen müssen getroffen werden (Bsp. Aufbewahrung des Entschlüsselungscodes), welche den SCC nicht entgegen stehen dürfen und das Schutzniveau der DSGVO einhalten.
  6. Überwachung und Bewertung des Datentransfers in regelmäßigen Abständen.
    Beispiel: Es ist wurde ein Prozess implementiert, der die Datenübertragung in das Drittland stoppt, sobald Änderungen in der Gesetzgebung des Drittlandes dazu führen, dass die festgelegten Sicherheitsmaßnahmen zur Datenübertragung nicht mehr ausreichend sind.

Im Whitepaper des EDPB wird nach wie vor festgehalten, dass Unternehmen selbst für die Datensicherheit verantwortlich sind und nicht jede Datenverarbeitung in einem Drittstaat entsprechend abgesichert werden kann.

Entwurf für neue Standarddatenschutzklauseln (SCC) der Europäischen Kommission

Auch die Europäische Kommission hat am 13.11.2020 auf das Schrems II-Urteil reagiert und einen Entwurf über neue SCC veröffentlicht.


Die nachfolgenden Regelungen sind nun explizit in dem Entwurf der neuen SCC enthalten:

  1. Die Einhaltung der SCC soll nicht durch die Rechtslage des Bestimmungslandes vereitelt werden
  2. Die Informationspflicht gegenüber der betroffenen Personen bei Anfragen von Behörden besteht weiterhin.
  3. Es werden Rechtsmittel zur Anfechtung der Entscheidung eingelegt, sofern betroffene Personen bei behördlichen Maßnahmen nicht benachrichtigt werden dürfen.

Derzeit befinden sich die neuen Klauseln noch in der öffentlichen Konsultation und sind noch nicht von der Europäischen Kommission angenommen worden.

Fazit

Unternehmen sind gut damit beraten, die weiteren Entwicklungen hinsichtlich SCC und dem internationalen Datentransfer im Auge zu behalten. Es sollten entsprechende Prozesse für den internationalen Datentransfer im Unternehmen implementiert werden, welche sich an den Vorgaben des EDPB orientieren.

Laura Piater

Justiziarin

Consultant für Datenschutz

Der Europäische Gerichtshof hat heute Morgen die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA gekippt. Dies war die informelle Absprache auf dem Gebiet des Datenschutzrechts, die zwischen der Europäischen Union und der USA ausgehandelt wurde. Die Absprache regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen wurden. Eine Datenübertragung in die USA und andere Staaten ist aber weiterhin auf Grundlage der sog. EU-Standardvertragsklauseln möglich. Diese bieten Garantien dafür, dass bei der Übermittlung von Daten das europäische Datenschutzniveau eingehalten wird.

Auch das „Privacy Shield“ hat Standards für den Umgang mit europäischen Daten in den USA festgelegt. Die Unternehmen, die ihre Datenübertragung darauf gestützt haben, stehen jedoch nun vor dem Problem, dass diese mit dem Wegfall des Privacy Shields unzulässig geworden ist. Diese Unternehmen müssen jetzt also nach Alternativen suchen. In Betracht kommt entweder die Nutzung von o.g. EU- Standardvertragsklauseln oder der Wechsel zu Dienstleistern und Rechenzentren ausschließlich in Europa oder in Staaten mit einem angemessenen Datenschutzniveau. Bei Verstößen gegen die DSGVO kann es jedenfalls teuer werden, wie einige Fälle bereits gezeigt haben. Es drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens, wenn man Daten ohne angemessenes Datenschutzniveau in ein Drittland übermittelt.

Der österreichische Datenschutzaktivist Max Schrems hatte in diesem Fall beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Denn dort ist Facebook dazu verpflichtet, den US-Behörden (z.B. FBI, NSA) Zugang zu den Daten zu gewähren – und das ohne richterlichen Beschluss oder die Möglichkeit der betroffenen Personen dagegen vorzugehen. Der Rechtsschutz ist für die betroffenen Personen daher unzureichend. Aufgrund dieser Zugriffsmöglichkeiten ist nach Ansicht der Luxemburger Richter der Datenschutz nicht gewährleistet und erklärte dem EU-US Privacy Shield eine Absage.

Unternehmen müssen nun dringend handeln und entweder die Datenverarbeitung mit ehemals Privacy Shield zertifizierten Unternehmen einstellen oder mit diesen unverzüglich EU-Standardvertragsklauseln schließen.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig

Cookie-Banner sind mittlerweile beim Surfen im Internet unumgänglich. Damit fragen die Webseitenbetreiber die Besucher, ob sie mit einem Cookie Daten auf der Festplatte des Besuchers speichern dürfen. Diese Cookies können anschließend dann unter anderem dazu verwendet werden, um individualisiert Werbung zu platzieren.

Gestern hat der Bundesgerichtshof (BGH) entschieden, dass: "für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist".

Konkret ging es um eine Auseinandersetzung zwischen dem Bundesverband der Verbraucherzentralen und Planet49, einem Anbieter von Online-Gewinnspielen. Der Bundesverband hatte bemängelt, dass bei der Webseite von Planet49 bereits ein Haken im Feld zur Cookie-Einwilligung gesetzt war. Welches der Webseitenbesucher aktiv entfernen musste.

Die Karlsruher Richter urteilten nun, dass diese Art der Cookie-Einwilligung den Webseitenbesucher unangemessen benachteiligt. Damit bestätigen sie die europäischen Vorschriften, gemäß denen Webseitenbesucher dem Setzen von nicht technisch notwendigen Cookies aktiv zustimmen müssen.

Denn bereits der Europäische Gerichtshof (EuGH) hatte im Oktober 2019 ein solches Vorgehen für unzulässig erklärt. Nur die aktive Einwilligung erlaubt das nicht technisch notwendige Tracking auf Webseiten. Dieses Vorgehen entsprach auch unserer Beratungspraxis in den letzten Monaten.

Der BHG habe gestern das deutsche Telemediengesetz nach den Vorgaben der seit zwei Jahren geltenden EU-Datenschutzgrundverordnung ausgelegt, sagte der Vorsitzende Richter Thomas Koch.

Somit herrscht nun endlich Klarheit und Rechtssicherheit beim Umgang mit Cookies und jeder Webseitenbetreiber kann sich klar an den Vorgaben orientieren. An der aktiven Einwilligung bei technisch nicht notwendigen Cookies kommt man spätestens seit dem BGH Urteil vom 28.05.2020 nicht mehr vorbei. Andernfalls riskiert man an dieser Stelle ein empfindliches Bußgeld.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union und der Europäischen Atomgemeinschaft (Euratom) ausgetreten. Das Austrittsabkommen ist zum 1. Februar 2020 in Kraft getreten und sieht einen Übergangszeitraum bis zum 31. Dezember 2020 vor, in dem das EU-Recht für das Vereinigte Königreich weiterhin mindestens gilt.

 

Am 3. Februar 2020 hat nun die Europäische Kommission den ersten Schritt zur Aufnahme von Verhandlungen mit dem Vereinigten Königreich unternommen und dem Rat eine Empfehlung vorgelegt. Darin wird auch die große Bedeutung des Datenschutzes hervorgehoben. Die Kommission betont, dass die geplante Partnerschaft angesichts der Bedeutung des Datenflusses eine Verpflichtung zu einem hohen Niveau des Schutzes personenbezogener Daten gewährleisten muss. Außerdem sei es wichtig, dass die Vorschriften der Union über den Schutz personenbezogener Daten uneingeschränkt respektiert werden – ebenso wie die Entscheidungsprozesse der Union in Bezug auf Angemessenheitsentscheidungen. Eine solche Angemessenheitsentscheidung wird erforderlich, da das Vereinigte Königreich aus datenschutzrechtlicher Sicht nach dem Übergangszeitraum zu einem Drittstaat wird. Mit dem Angemessenheitsbeschluss der EU-Kommission – sofern die Bedingungen dafür erfüllt sind – wird das Vereinigte Königreich als ein Drittland mit angemessenem Schutzniveau eingestuft.

 

Ein solcher Angemessenheitsbeschluss sollte auch die Zusammenarbeit und den Informationsaustausch, insbesondere im Bereich der Strafverfolgung und der justiziellen Zusammenarbeit in Strafsachen ermöglichen.

 

Darüber hinaus sollte die Partnerschaft nach der Empfehlung der Kommission im Zusammenhang mit der Digitalisierung des Waren- und Dienstleistungsverkehrs für den Schutz der Verbraucher im Internet sorgen, einschließlich des Schutzes vor unerbetener Direktmarketingkommunikation.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Welche Bedeutung hat es für die Übertragung von Daten, wenn Großbritannien zum 31.01.2020 die Europäische Union verlassen wird?

 

Zunächst bleibt alles beim Alten. Bis zum 31.12.2020 wird Großbritannien so behandelt, als gehöre es noch zur EU. Diese sogenannte Übergangsphase dient dazu, das zukünftige Verhältnis zwischen den Partnern zu regeln. Zwar hat die EU Großbritannien die theoretische Möglichkeit einer Verlängerung der Übergangsphase um ein oder zwei Jahre bis maximal Ende 2022 eingeräumt. Diese Möglichkeit wurde allerdings durch das im britischen Unterhaus beschlossene Gesetz ausgeschlossen.

 

Ob und wie die endgültigen Regelungen getroffen werden, dürfte in den nächsten Monaten Gegenstand weiterer intensiver Verhandlungen sein. Die von der EU gewährte Verlängerungsoption muss bis Ende Juni 2020 durch Großbritannien in Anspruch genommen werden, ansonsten haben wir Ende 2020 dann doch eine ungeregelte Rechtslage. Andererseits wurden den Briten seitens der EU immer wieder Verlängerungen gewährt, so dass auch diesbezüglich noch alle Fragen offen sind. Es dürfte im Interesse von Großbritannien liegen, die Verhandlungen zügig zu führen, denn im Übergangszeitraum muss das Land weiterhin Beiträge zur EU zahlen, ohne jedoch ein Mitspracherecht zu haben.

 

Nach Ablauf des Übergangszeitraums ist Großbritannien dann aus datenschutzrechtlicher Sicht ein Drittstaat, für den die besonderen Regelungen der Art. 44 bis 49 DSGVO gelten. Um weiterhin unproblematisch den Datenaustausch zwischen den Partnern zu gewährleisten wäre es wünschenswert, wenn Großbritannien ebenso als „Drittland mit angemessenem Schutzniveau“ eingestuft würde wie etwa die Schweiz. Bis zum Ende der Übergangsfrist sollte die EU-Kommission über einen Angemessenheitsbeschluss gem. Art. 45 DSGVO entscheiden

 

Allerdings kann eine entsprechende Einschätzung durch die Kommission natürlich erst dann erfolgen, wenn bekannt wird, welche eigenen Datenschutzgesetze Großbritannien sich selbst geben wird, womit der erste Schritt wieder einmal durch die Briten gemacht werden muss.

 

Wir werden Sie weiter auf dem Laufenden halten.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Mit Spannung haben die Datenschützer in Europa auf den Dezember 2019 gewartet, sollte doch der Schlussantrag des Generalanwalts im Verfahren C-311/18 ein Indiz dafür geben, ob der Datenaustausch mit den USA weiterhin auf den Privacy Shield gestützt werden kann, ja ob der Privacy Shield an sich überhaupt die Qualität hat, die Daten der EU-Bürger in den USA sicher zu schützen.

Doch es kam anders.

Ausgangsfrage

Eigentlich geht es in dem Verfahren nämlich gar nicht um den Privacy Shield, sondern um die Standardvertragsklauseln gem. Beschluss 2010/87/EU. Der Beschwerdeführer Herr Schrems beruft sich im Wesentlichen auf die Unangemessenheit dieser vertraglichen Garantien unter Hinweis auf die Eingriffe in die Ausübung seiner Grundrechte, die sich aus der Tätigkeit der amerikanischen Nachrichtendienste ergeben. Daher sollte der EuGH in einer Vorabentscheidung prüfen, ob in den USA ein angemessener Schutz der Daten von Unionsbürgern sichergestellt ist und falls nicht, im Anschluss feststellen, ob dann ggfs. ein Rückgriff auf den Privacy Shield zulässig sei mit der Folge, dass dieser ebenfalls auf dem Prüfstand stünde.

Wirksamkeit der Standardvertragsklauseln

Der Generalanwalt stellte fest, dass die Standardvertragsklauseln nicht bereits dadurch unwirksam würden, weil diese die Behörden im Drittland nicht selbst zur Einhaltung der in den Standardvertragsklauseln niedergelegten Grundsätze verpflichten. Es müsse vielmehr untersucht werden, ob eine Pflicht für den Verantwortlichen oder die jeweilige Kontrollstelle (in der Regel die Aufsichtsbehörde) bestünde, die Übertragung auszusetzen oder zu verbieten, sofern die Standardvertragsklauseln aufgrund des Rechtes des Drittlandes nicht eingehalten werden könnten. Dies sei durch Art. 58 Abs. 2 litt. f) und j) DSGVO sichergestellt, so dass die datenschutzrechtlichen Belange der Unionsbürger ausreichend gewahrt seien. In der zu überprüfenden Entscheidung gehe es damit ausschließlich um die Frage, ob die irische Aufsichtsbehörde im konkreten Fall ihren Befugnissen zur Ergreifung von Maßnahmen korrekt nachgekommen sei. Konkret: Die irische Aufsichtsbehörde hätte die Befugnisse der nationalen Sicherheitsbehörden in den USA selbst abwägen sollen und je nach Ergebnis dann die Übermittlung der Daten erlauben oder verbieten können. Dies zu beurteilen, sei jedoch Aufgabe des vorlegenden Gerichts.

Wirksamkeit des Privacy Shields

Eine Entscheidung zur Wirksamkeit des Privacy Shields hält der Generalanwalt in diesem Verfahren folgerichtig nicht für notwendig, da der vorliegende Rechtsstreit ausschließlich die korrekte Anwendung der DSGVO durch die Irische Aufsichtsbehörde betreffe. Zudem verweist der Generalanwalt auf die offene Rechtssache T-738/16, eine Nichtigkeitsklage die Gültigkeit des Privacy Shields betreffend. Ob die Ausführungen, die der Generalanwalt hilfsweise in seinem Schlussantrag zur Wirksamkeit des Privacy Shields gemacht hat, dort ebenfalls Berücksichtigung finden werden, bleibt abzuwarten.

Pragmatismus

Bereits zu Beginn seiner Stellungnahme wies der Generalanwalt darauf hin, dass seine Analyse ein vernünftiges Maß an Pragmatismus enthalte, um die Interaktion mit anderen Teilen der Welt zu ermöglichen („reasonable degree of pragmatism in order to allow interaction with other parts of the world“). Es bleibt zu hoffen, dass das zweite Ziel, nämlich die Notwendigkeit, die in den Rechtsordnungen der EU anerkannten Grundwerte durchzusetzen, hierbei nicht auf der Strecke bleibt.

Im Lichte des Pragmatismus wäre es jedenfalls für die Rechtsanwender, die Unternehmen und die Datenschutzbeauftragten deutlich einfacher gewesen, der Generalanwalt hätte schon jetzt eine deutliche Empfehlung hinsichtlich der Wirksamkeit des Privacy Shields ausgesprochen. Stattdessen möchte er die konkrete Entscheidung, ob die Rechte von Unionsbürger in einem Drittland ausreichend gewahrt werden, und welche Maßnahmen im gegenteiligen Fall zu treffen sind, den mehr als 40 verschiedenen Datenschutz-Aufsichtsbehörden selbst überantworten.

Vielleicht hat der EuGH ja ein Einsehen mit den vor allem europaweit vertretenen Unternehmen, die sich gerne an die gesetzlichen Vorgaben halten möchten und denen es aus unserer Sicht nicht zugemutet werden kann, sich ggfs. je nach unterschiedlicher Auffassung der lokalen zuständigen Aufsichtsbehörde unterschiedlich zu verhalten.

Wir werden Sie wie immer über die aktuellen Entscheidungen auf dem Laufenden halten.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat im Juni seinen Tätigkeitsbericht für 2018/2019 veröffentlicht und damit einen Einblick in die aktuellen datenschutzrechtlichen Entwicklungen in der Schweiz gegeben. Mit diesen Themen hat sich der EDÖB in seinem Bericht befasst:

 

Totalrevision des Datenschutzgesetzes

 

Die Totalrevision des Datenschutzgesetzes (DSG) in der Schweiz steht immer noch aus. In einem ersten Teil wurde bereits das Schengen-Datenschutzgesetz (SDSG) verabschiedet, dessen Geltung sich auf die Datenerhebung der Strafverfolgungsbehörden des Bundes beschränkt. Das SDSG soll durch das totalrevidierte DSG jedoch wieder aufgehoben werden. Ein Abschluss der Beratungen der Totalrevision des DSG von 1992 ist aber noch nicht in Sicht. Dadurch entstehen Wettbewerbsnachteile bei Schweizer Unternehmen, die ihren Kunden – genauso wie ihre Konkurrenten in den Staaten der EU und des EWR – einen den europäischen Standards entsprechenden Schutz bieten wollen.

 

Denn zahlreiche Schweizer Unternehmen geraten in den Anwendungsbereich der Datenschutzgrundverordnung (DSGVO). So z.B. wenn ein Schweizer Unternehmen eine Niederlassung in der EU hat, Waren oder Dienstleistungen in der EU anbietet oder das Verhalten von Kunden in der EU beobachtet (z.B. deren Surfverhalten), um personalisierte Angebote zu unterbreiten. Das Nebeneinander von DSGVO und DSG führt aber zu Rechtsunsicherheit auf Seiten der Unternehmen, die durch das totalrevidierte DSG aufgelöst werden kann. Es bleibt daher zu hoffen, dass die Totalrevision des Datenschutzgesetzes nicht mehr allzu lange auf sich warten lässt.

 

Swiss-US Privacy Shield

 

Im Herbst 2018 wurde das Swiss-US Privacy Shield in Brüssel überprüft und in dem Zusammenhang auch Verbesserungen durch die US-Behörden vorgenommen. So wurde beispielsweise verstärkt nach „false claims“ gesucht, d.h. nach Unternehmen die sich fälschlicherweise als Swiss-US Privacy Shield zertifiziert ausgaben. Unternehmen werden außerdem regelmäßiger auf Schwachstellen überprüft und die US Behörden überwachen die Zertifizierung strenger.

 

Im Berichtsjahr wurden dem EDÖB zwei „false claims“ gemeldet und es wurden zehn berechtigte Beschwerden von Betroffenen aus der Schweiz bei unabhängigen Beschwerdestellen (Independent Recourse Mechanism) eingereicht. Dies zeigt, dass die Rechtsinstrumente des Swiss-US Privacy Shield bisher nur wenig genutzt werden. Vor einer offiziellen Beschwerde wird jedoch in der Regel erst das zertifizierte Unternehmen selbst angegangen und die Datenschutzverletzung vermutlich bereits auf diesem Weg beseitigt. Außerdem ist das Übereinkommen auch erst seit April 2017 in Kraft.

 

Trotz einiger Schwachstellen, konnte die Funktionsweise des Swiss-US Privacy Shield insgesamt verbessert werden. Seit dessen Inkrafttreten haben sich bereits rund 2900 US-Unternehmen zertifizieren lassen.

 

Überprüfung des Datenschutzniveaus

 

Die Europäische Kommission hat der Schweiz zuletzt 2000 ein angemessenes Datenschutzniveau attestiert und nun angekündigt das Schweizer Datenschutzniveau auf Grundlage der DSGVO neu zu bewerten und den Angemessenheitsentscheid 2020 zu veröffentlichen. Für die Schweiz wäre es natürlich von Vorteil, wenn dies aufgrund des totalrevidierten DSG bewertet würde und nicht aufgrund des alten DSG von 1992. Ein entscheidendes Kriterium für den Angemessenheitsbeschluss ist nach Aussage der Europäischen Kommission auch das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) des Europarates, das seit Oktober 2018 zur Unterzeichnung vorliegt.

 

Es besteht die Gefahr, dass die EU der Schweiz den Angemessenheitsbeschluss entzieht, wenn die Schweiz ihre Änderungen zum Datenschutz nicht rechtzeitig verabschieden. Wir werden die Entwicklungen daher im Blick behalten, um in diesem Fall zeitnah bei unseren Kunden mit EU-Standardvertragsklauseln reagieren zu können.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Die Datenschutzgrundverordnung (DSGVO) ist nun fast ein Jahr alt. Die anfängliche Aufregung in Europa war spürbar, doch es ist etwas ruhiger geworden um die DSGVO. Aktuell werden aber auch nicht EU ansässige Firmen langsam auf die DSGVO aufmerksam.

 

Unternehmen, die keinen Firmensitz in der EU haben, aber ihre Produkte oder Dienstleistungen in der Europäischen Union anbieten, müssen – sofern sie personenbezogene Daten von in der EU befindlichen Personen verarbeiten – einen Vertreter in der Union bestellen (Art. 27 Abs. 1 DSGVO). Durch das im Rahmen der DSGVO eingeführte sogenannte Marktortprinzip gilt die Verordnung nämlich nicht mehr nur für Unternehmen, die innerhalb der Europäischen Union niedergelassen sind. Vielmehr wird darauf abgestellt, ob Unternehmen, unabhängig vom Firmensitz, ihre Waren oder Dienstleistungen innerhalb der EU anbieten und dabei personenbezogene Daten von in der EU befindlichen Personen verarbeiten. In welchem Land tatsächliche die Verarbeitung der Daten erfolgt ist dabei nicht relevant.

 

Dieser EU-Vertreter ist die Anlaufstelle für alle Fragen zum Datenschutz von betroffenen Personen sowie der Kontakt für Datenschutz-Aufsichtsbehörden und hat die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen nach der EU-DSGVO obliegenden Pflichten zu vertreten. Der EU-Vertreter kann sowohl eine natürliche als auch eine juristische Person sein.

 

Auch die Aufsichtsbehörden haben bereits darauf aufmerksam gemacht, dass Sie auch für diese Fälle vermehrt Kontrollen durchführen werden. Nicht in der EU ansässige Unternehmen sollten zeitnah prüfen ob Sie für Ihre Datenverarbeitung einen solchen Vertreter benötigen und anschließend, wenn nötig, einen solchen bestellen. Auch die it.sec bietet die Möglichkeit der Bestellung eines EU-Vertreters. Kontaktieren Sie uns gerne.

 

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

Einleitung

Eigentlich sollte es ganz einfach sein: Durch das sogenannte One-Stop-Shop-Prinzip gibt es immer eine Aufsichtsbehörde, die sich federführend um Datenschutzbelange kümmert. Dadurch soll erreicht werden, dass einerseits die Verbraucher nicht mehr von einer Aufsichtsbehörde an die nächste verwiesen werden, andererseits sind besonders für international agierende Unternehmen nur noch eine Aufsichtsbehörde zuständig. So zumindest die Theorie.
Datenschutzverletzungen sind den jeweils zuständigen Aufsichtsbehörden zu melden. Dabei ist die Aufsichtsbehörde zuständig, in deren Bereich die Datenschutzverletzung stattgefunden hat. Insbesondere im Fall der grenzüberschreitenden Datenverarbeitung kann es jedoch mitunter schwierig sein, die zuständige Aufsichtsbehörde zu identifizieren.

Grenzüberschreitende Datenverarbeitung mit mehr als einem Mitgliedsstaat

Im Falle der grenzüberschreitenden Datenverarbeitung an der mehr als ein Mitgliedsstaat beteiligt ist, ist die Datenschutzbehörde zuständig, in der der Hauptsitz des Unternehmens ist.Wissenswert ist in diesem Zusammenhang, dass die Art. 29-Gruppe eine Leitlinie (WP 244) dazu veröffentlicht hat, wonach maßgeblich sein soll, wo (in welchem Land) die Entscheidung über die Verarbeitung getroffen wird. Im Zweifel soll das Unternehmen selbst ermitteln (dürfen), wo seine Hauptniederlassung ist und welche Aufsichtsbehörde damit als federführende Behörde fungiert. Diese Entscheidung kann jedoch von der jeweiligen Aufsichtsbehörde überprüft und ggfs. abgeändert werden. Die letztliche Entscheidung trifft die Europäische Aufsichtsbehörde.

Grenzüberschreitende Datenverarbeitung mit Hauptsitz außerhalb der EU

Für den Fall, dass der Hauptsitz außerhalb der EU ist und dort auch alle Entscheidungen getroffen werden sieht die DSGVO allerdings keine Lösung vor (Vergl. unter Ziff. 2.2 WP244).

Handlungsempfehlung

Als Handlungsempfehlung sollten Sie daher bei grenzüberschreitender Datenverarbeitung prüfen, in welchem Land die jeweiligen Entscheidungen getroffen werden. Es kann durchaus sein, dass z.B. in Kundenfragen eine andere Aufsichtsbehörde zuständig sein kann als in Beschäftigtenfragen. Im Zweifel sollte die Datenschutzverletzung sicherheitshalber sowohl in dem Land gemeldet werden, in dem die Verletzung stattgefunden hat als auch in dem Land, in dem die diesbezüglichen Entscheidungen zu der Verarbeitung getroffen wurde.

Wir können davon ausgehen, dass die Aufsichtsbehörden sich untereinander unterstützen, sie sind ohnehin verpflichtet, sich gegenseitig Amtshilfe zu leisten.

Céline Lürmann

Rechtsanwältin

Consultant für Datenschutz

2 AZR 342/20 20 Mitarbeiter 20.04.2021 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absenderinformationen irreführend Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD ähnliche Betrugsmaschen Airbnb amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Anschein Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit Anwesenheitskontrolle AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsagentur Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsschutzverordnung Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit ArbGG Art 6 und 9 DSGVO Art. 13 DSGVO Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 28 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen Ausländerbehörde auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG Bankkonto Base64 Decodierer BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Berufsgeheimnis Beschäftigte Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten Betreff passt nicht betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte Betrüger Betrugsmasche BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrecht Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldverfahren BVG Callcenter Caller ID Spoofing Cambridge Analytics Captcha-Funktion CEO-Fraud Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Corona Testangebot Coronavirus Corporate Design COVID-19 COVID-19-Hilfen CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenklau Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Keule Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverordnung Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Dispokredit Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten Drohung DSAnpUG-EU DSDVO DSFA DSG DSGVO DSGVOÜberwachungstool DSK DSV DSVGO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen E-Mail-Kommunikation e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eigenes Unternehmen Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot erhöhter Kundenkontakt Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR Exchange-Servern externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Falschmeldung Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback fehlende TOM Fehler Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Fingerabdrucksystem Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Fotos auf der Webseite ohne die Einwilligung Framework freiwillig Frist Fristbeginn fristlose Kündigung Führungsperson Funkmäuse Funktastaturen Fürsorgepflicht GCP GDPR Geburtsdaten gefährdet gefälscht Email Gehaltsvorstellung Geheimhaltung Geldbörse Geldbußen Geldstrafe Geldsumme Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen gesundheitsbedingten Abwesenheit Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics Google IAP GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff Hackerangriff auf Microsoft Exchange-Server hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hilfestellung Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Identitätsdiebstahl Immobilienmakler Incident Response Incident Response Modus Infektionsrisiko Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter INPS Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interne Informationen interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Abteilung IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz konkrete Handlung Kontaktaufnahme trotz Löschungsverfahren Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperation mit der Aufsichtsbehörde Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Landgericht Berlin Laptop Lazarus Leads Work Limited Lebensweise Lehrer Leistungs- und Verhaltenskontrolle Leitungspersonen LfD LfDI Baden-Württemberg LfDI BW Like-Button Link geklickt Link klicken Link öffnen LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschungsverfahren Löschverlangen Lösegeld Machtposition Mail Makler Malware Mängel Manipulation eines Request Manipulation eines Requests Manipulation von Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldevorhaben Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mieterdaten Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung Nationale Institut für Sicherheit Nationale Schule für Justiz natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer organisatorische Absicherung Original oder Betrug Österreich Pandemie Pandemiebekämpfung Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Persönlichkeitsverletzung Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phishing-Mail Phishingmail Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Powershell-Skript PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht am eigenen Bild Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung Rechtschreibung fehlerhaft rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadensersatzanspruch Schadprogramm Schadsoftware Schmerzensgeld Schnelltest Schrems II Schufa Schüler Schulung Schulungsplattform Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstelle in Google Cloud Plattform Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Self-XSS Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherheitswarnung des BSI Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Media Inhalt Social Plugin sofort Handeln Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Strafen Straftaten Strafverfolgung Stresssituation Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Tathandlung Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische Absicherung Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonanruf Telefonat Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Testangebot Testpflicht Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Überweisung ins Ausland überzogen Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account unterlassen Sicherungsmaßnahme Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmensnetzwerk Unternehmenssprache unverschlüsselt unverschlüsselter E-Mail Anhang Unwirksamkeit unzulässig Update Urlaub Urteil Urteil BAG 27.04.2021 - 2 AZR 342/20 US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitung von Mieterdaten Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren Verfahren C-311/18 Vergessenwerden Verhaltensweise Verkaufsraum Verlängerung Verletzung der Meldepflicht verloren Verlust Vermieter Vermietung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Vertrauen Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Videoüberwachung der Beschäftigten Virtual Private Network Virus Vishing Vodafone Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weiterleitung E-Mail Weltanschauung Werbe SMS ohne Einwilligung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung Xing XSS Youtube Zahlungsverkehr Kontrollmechanismen Zeitdruck Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugang zu Daten Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 26 Bundesdatenschutzgesetz § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31